Las vulnerabilidades están a la orden del día, y es habitual ver como cada cierto tiempo los diferentes sistemas operativos y aplicaciones sufren de diferentes problemas. Uno de los equipos que se encarga de buscar estos problemas es Project Zero de Google, y ha encontrado una de Microsoft Jet Database Engine.
Microsoft Jet Database Engine sufre una vulnerabilidad sin parchear
Esta nueva vulnerabilidad viene de la iniciativa de Google en que la que se busca dar un plazo de tiempo para los fallos de seguridad. Lo habitual es que den 120 días de margen para corregirlo, y en caso de que no se haya hecho, se publicará, y pasará a poder se explotada fácilmente.
Obviamente, el hecho de que conozcamos esto, es porque Microosft ha superado el plazo de tiempo permitido, y la vulnerabilidad afecta a todas las versiones de Windows, incluyendo Server.
Concretamente, esta vulnerabilidad escribirá un flag que puede utilizarse para abrir una fuente Jet con un componente de Microsoft conocido como Object Linking and Embedding Database (OLEDB).
Si este problema empieza a ser explotado por diferentes hackers, les conocerá acceso a poder ejecutar código remoto en el actual usuario. La buena noticia, es que para que esto pase, es el propio usuario el que debe abrir un archivo que contenga los datos de información de Jet database.
Fue el 8 de mayo cuando Microsoft recibió este fallo y confirmaron como real. A partir de entonces, han corregido algunos problemas de Jet en la última acumulativa, aunque este fallo en concreto se mantiene, y se espera que Microsoft libere la solución en el parche de octubre, por lo que no habría que esperar mucho.
Como siempre, la mejor solución contra los problemas de este estilo es tener cuidado y evitar las fuentes desconocidas siempre que sea posible. ¿Creéis que lo veremos en la próxima acumulativa?
